സോഷ്യൽ എഞ്ചിനീയറിംഗ് (കമ്പ്യൂട്ടർ സുരക്ഷ)

ഇംഗ്ലീഷ് വിലാസം

https://ml.wikipedia.org/wiki/Social_engineering_(security)

സൈബർ സുരക്ഷയിൽ സോഷ്യൽ എഞ്ചിനീയറിംഗ് എന്നതുകൊണ്ട് അർത്ഥമാക്കുന്നത് രഹസ്യങ്ങൾ പങ്കിടുന്നതിനോ ഓൺലൈനിൽ ചെയ്യാൻ പാടില്ലാത്ത കാര്യങ്ങൾ ചെയ്യുന്നതിനോ വേണ്ടി ആളുകളെ കബളിപ്പിക്കുക എന്നതാണ്. ഇതിന്റെ ഫലമായി, രഹസ്യസ്വഭാവമുള്ള വിവരങ്ങൾ വെളിപ്പെടുത്തുകയോ ദോഷകരമായ ലിങ്കുകളിൽ പ്രവേശിക്കുകയോ ചെയ്യുന്നു. വിവരങ്ങൾ മോഷ്ടിക്കുന്നതിനോ കമ്പ്യൂട്ടർ സിസ്റ്റങ്ങളിൽ കടന്നുകയറുന്നതിനോ ഉള്ള ഒരു രഹസ്യ മാർഗമാണിത്. സോഷ്യൽ എഞ്ചിനീയറിംഗ് പരമ്പരാഗത "കോണി(con)"-ൽ നിന്ന് വ്യത്യസ്തമാണ്, പലപ്പോഴും വലിയ തട്ടിപ്പുകളുടെ ഭാഗമാണിത്.^[1] "ഒരു വ്യക്തിക്ക് അവരുടെ താൽപ്പര്യങ്ങൾക്കനുസൃതമല്ലാത്തതോ ആയ ഒരു നടപടിയെടുക്കാൻ വേണ്ടി സ്വാധീനിക്കുന്ന ഏതൊരു പ്രവൃത്തിയും" എന്നും സോഷ്യൽ എഞ്ചനീയറിംഗ് നിർവചിക്കപ്പെട്ടിട്ടുണ്ട്.^[2]

ടെക്നിക്കുകൾ[തിരുത്തുക]

കോഗ്നിറ്റീവ് ബയാസ് എന്ന് വിളിക്കപ്പെടുന്ന ആളുകൾ തീരുമാനങ്ങൾ എടുക്കുന്ന സ്വാഭാവിക വഴികൾ പ്രയോജനപ്പെടുത്തിക്കൊണ്ടാണ് സോഷ്യൽ എഞ്ചിനീയറിംഗ് തന്ത്രങ്ങൾ പ്രവർത്തിക്കുന്നത്. ഇത് മൂലം വ്യക്തികളെ വിവിധ സാഹചര്യങ്ങളിൽ കൃത്രിമത്വത്തിന് കൂടുതൽ വിധേയരാക്കുന്നു, ആക്രമണകാരികളെ അവരുടെ നേട്ടത്തിനായി ചൂഷണം ചെയ്യാൻ അനുവദിക്കുന്നു.^[3]^[4]

സോഷ്യൽ എഞ്ചിനീയറിംഗിന്റെ ഒരു ഉദാഹരണം, ഒരു വ്യക്തി കമ്പനി ബുള്ളറ്റിനിൽ ഹെൽപ്പ് ഡെസ്‌കിന്റെ നമ്പർ മാറിയെന്ന് പറയുന്ന ഒരു ഔദ്യോഗിക അറിയിപ്പ് പോസ്റ്റ് ചെയ്യുന്നു. അതിനാൽ, ജീവനക്കാർ സഹായത്തിനായി വിളിക്കുമ്പോൾ ആ വ്യക്തി അവരോട് അവരുടെ പാസ്‌വേഡുകളും ഐഡികളും ആവശ്യപ്പെടുന്നു, അതുവഴി കമ്പനിയുടെ സ്വകാര്യ വിവരങ്ങളിലേക്ക് പ്രവേശിക്കാൻ സാധിക്കുന്നു. സോഷ്യൽ എഞ്ചിനീയറിംഗിന്റെ മറ്റൊരു ഉദാഹരണം, ഹാക്കർ ഒരു സോഷ്യൽ നെറ്റ്‌വർക്കിംഗ് സൈറ്റിൽ ഒരു വ്യക്തിയുമായി ബന്ധപ്പെടുകയും ആ വ്യക്തിയുമായി സംഭാഷണം ആരംഭിക്കുകയും ചെയ്യുന്നു എന്നതാണ്. ക്രമേണ ഹാക്കർ ഇരയുടെ വിശ്വാസം നേടുകയും പാസ്‌വേഡ് അല്ലെങ്കിൽ ബാങ്ക് അക്കൗണ്ട് വിശദാംശങ്ങൾ പോലുള്ള തന്ത്രപ്രധാനമായ വിവരങ്ങളിലേക്ക് പ്രവേശനം ലഭിക്കുന്നതിന് വേണ്ടി ആ വിശ്വാസത്തെ ഉപയോഗിക്കുകയും ചെയ്യുന്നു.^[5]

മറ്റ് ആശയങ്ങൾ[തിരുത്തുക]

പ്രീടെക്റ്റിംഗ്[തിരുത്തുക]

ഒരു വ്യക്തിയെ കബളിപ്പിച്ച് വിവരങ്ങൾ നൽകാനോ അവർ സാധാരണയായി ചെയ്യാത്ത എന്തെങ്കിലും ചെയ്യുവാനോ വേണ്ടി ആരെങ്കിലും ഒരു വ്യാജമായ കഥയോ സാഹചര്യമോ സൃഷ്ടിക്കുന്നതാണ് പ്രെക്‌സ്റ്റിംഗ്. ആ നുണ ബോധ്യപ്പെടുത്തുന്നതിന് വേണ്ടി, ആക്രമണകാരി ഇരയുടെ ജന്മദിനം അല്ലെങ്കിൽ സോഷ്യൽ സെക്യൂരിറ്റി നമ്പർ പോലെയുള്ള വിവരങ്ങൾ മുൻകൂട്ടി ശേഖരിക്കുകയും ചെയ്തേക്കാം.^[6] ഇത് അടിസ്ഥാനപരമായി സങ്കീർണ്ണമായ ഒരു തന്ത്രമാണ്, അത് ഇരയ്ക്ക് വിശ്വസനീയമാണെന്ന് തോന്നുന്ന തരത്തിലുള്ള പ്രവർത്തനങ്ങളെയും, തയ്യാറെടുപ്പിനെയും ആശ്രയിച്ചിരിക്കുന്നു.^[7]

വാട്ടർ ഹോളിംഗ്[തിരുത്തുക]

പതിവായി സന്ദർശിക്കുന്ന വെബ്‌സൈറ്റുകളിൽ ഉപയോക്താക്കൾക്കുള്ള വിശ്വാസം മുതലെടുക്കുന്ന സോഷ്യൽ എഞ്ചിനീയറിംഗ് തന്ത്രമാണ് വാട്ടർ ഹോളിംഗ്. മറ്റൊരു സാഹചര്യത്തിൽ ചെയ്യാത്ത കാര്യങ്ങൾ ചെയ്യാൻ ഇരയ്ക്ക് സുരക്ഷതിമാണെന്ന് തോന്നുന്നു. ഒരു ജാഗ്രതയുള്ള വ്യക്തി, ഉദാഹരണത്തിന്, ആവശ്യപ്പെടാത്ത ഇമെയിലിലെ ലിങ്കിൽ ക്ലിക്ക് ചെയ്യുന്നത് മനഃപൂർവ്വം ഒഴിവാക്കിയേക്കാം, എന്നാൽ അതേ വ്യക്തി പലപ്പോഴും സന്ദർശിക്കുന്ന ഒരു വെബ്സൈറ്റിലെ ലിങ്ക് പിന്തുടരാൻ മടിക്കില്ല. അതിനാൽ, ആക്രമണകാരി അശ്രദ്ധരായ ഇരകൾക്കായി ഒരു വാട്ടറിംഗ് ഹോളിൽ കെണി തയ്യാറാക്കുന്നു. വളരെ സുരക്ഷിതമായ ചില സിസ്റ്റങ്ങളിലേക്ക് പ്രവേശനം നേടുന്നതിന് ഈ തന്ത്രം വിജയകരമായി ഉപയോഗിച്ചു.^[8]

അവലംബം[തിരുത്തുക]

↑ Anderson, Ross J. (2008). Security engineering: a guide to building dependable distributed systems (2 ed.). Indianapolis, IN: Wiley. p. 1040. ISBN 978-0-470-06852-6. Chapter 2, page 17
↑ "Social Engineering Defined". Security Through Education (in ഇംഗ്ലീഷ്). Retrieved 3 October 2021.
↑ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
↑ Kirdemir, Baris (2019). "HOSTILE INFLUENCE AND EMERGING COGNITIVE THREATS IN CYBERSPACE". Centre for Economics and Foreign Policy Studies.
↑ Hatfield, Joseph M (June 2019). "Virtuous human hacking: The ethics of social engineering in penetration-testing". Computers & Security. 83: 354–366. doi:10.1016/j.cose.2019.02.012. S2CID 86565713.
↑ The story of HP pretexting scandal with discussion is available at Davani, Faraz (14 August 2011). "HP Pretexting Scandal by Faraz Davani". Retrieved 15 August 2011 – via Scribd.
↑ "Pretexting: Your Personal Information Revealed", Federal Trade Commission
↑ "Chinese Espionage Campaign Compromises Forbes.com to Target US Defense, Financial Services Companies in Watering Hole Style Attack". invincea.com. 10 February 2015. Retrieved 23 February 2017.

[1] Anderson, Ross J. (2008). Security engineering: a guide to building dependable distributed systems (2 ed.). Indianapolis, IN: Wiley. p. 1040. ISBN 978-0-470-06852-6. Chapter 2, page 17

[2] "Social Engineering Defined". Security Through Education (in ഇംഗ്ലീഷ്). Retrieved 3 October 2021.

[3] Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.

[4] Kirdemir, Baris (2019). "HOSTILE INFLUENCE AND EMERGING COGNITIVE THREATS IN CYBERSPACE". Centre for Economics and Foreign Policy Studies.

[5] Hatfield, Joseph M (June 2019). "Virtuous human hacking: The ethics of social engineering in penetration-testing". Computers & Security. 83: 354–366. doi:10.1016/j.cose.2019.02.012. S2CID 86565713.

[6] The story of HP pretexting scandal with discussion is available at Davani, Faraz (14 August 2011). "HP Pretexting Scandal by Faraz Davani". Retrieved 15 August 2011 – via Scribd.

[7] "Pretexting: Your Personal Information Revealed", Federal Trade Commission

[Forbes.com_watering_hole_attack-8] "Chinese Espionage Campaign Compromises Forbes.com to Target US Defense, Financial Services Companies in Watering Hole Style Attack". invincea.com. 10 February 2015. Retrieved 23 February 2017.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]